導讀:全球每年都會有大量的爆炸性的資料洩漏事件發生,但是今年的資料洩漏事件特別多,此起彼伏,而且資料洩漏的規模和造成的破壞性影響,一次比一次大。
根據Identify Theft Research Center中心的資料顯示,與2021年同期相比,今年的資料洩漏事件增長了14%,公用事業企業、醫療機構、金融服務公司、製造企業是駭客的首要攻擊目標。
-
簡單梳理2022年上半年全球最大的10起資料洩漏事件;
-
從紅藍攻防的角度去分析這些資料洩漏事件背後的原因;
-
從紅藍攻防的角度為企業如何保護好自己的資料給出幾點建議。
根據國內知名媒體ZDNet的報道,今年全球發生瞭如下10起資料洩漏事件,根據資料洩漏規模和影響力倒序排列:
6月下旬,位於美國得克薩斯州聖安東尼奧的Baptist Medical Center醫療中心和德克薩斯州新布朗費爾斯的Resolute Health Hospital附屬醫院發生了重大的資料洩漏事件,該事件是美國衛生與公眾服務部最近追蹤到的、規模最大的資料洩漏事件之一,其中涉及到未經授權訪問高度敏感的患者資料。
今年6月,位於密歇根州特洛伊的美國星旗銀行稱在去年底發生了一次重大資料洩漏事件,客戶資料被洩漏,這是該銀行發生的第二次資料洩漏事件。
今年3月,美國德克薩斯州保險部的資料被洩漏,洩漏的敏感資料包括社保號碼、出生日期等個人資訊。
今年6月,總部位於美國馬薩諸塞州昆西的希爾茲醫療集團(Shields Health Care Group)資料洩漏,可能影響數十個地區醫療機構約200萬人,包括姓名、社保號碼和保險資訊。
NO.6 Horizon Actuarial Services
Horizon Actuarial是一家為美國很多工會福利計劃提供技術和精算諮詢服務的公司,駭客攻陷了這家公司內部的2臺伺服器,使用者的姓名、出生日期、社保號碼和健康計劃資訊遭洩漏,受影響的福利計劃包括美國職業棒球大聯盟球員福利計劃、全國冰球聯盟球員協會健康和福利基金、以及紐約時報福利協會。
NO.5 Lakeview Loan Servicing
位於美國佛羅里達州Coral Gables的Lakeview Loan Servicing的數百萬客戶的高度敏感資訊遭洩漏,在暗網掛牌銷售,該公司正面臨多起訴訟。
NO.4 Elephant Insurance Services
今年5月,總部位於美國弗吉尼亞州Henrico的Elephant Insurance ServicesDE 數百萬客戶的保單資訊被洩漏,包括姓名、駕照號碼和出生日期等資訊。
今年1月,總部位於美國俄亥俄州哥倫布市的公司FlexBooker(企業網站嵌入線上預約工具提供商)的AWS伺服器遭到入侵,使用者的信用卡資料等資訊遭洩漏。
美國的一家提供線上電子郵件營銷工具的公司Beetle Eye發生重大資料洩漏,此次事件是由於AWS S3儲存桶未進行任何加密且配置錯誤造成的,該漏洞導致Amazon S3儲存桶處於開啟狀態,洩漏了大約700萬人的敏感資料。
今年4月,美國知名投資公司Cash App Investing的820萬客戶資料被洩漏,由一名前員工下載了公司內部的一份報告引起,洩漏的資訊包含客戶的全名和經紀帳號等資訊。
其實,最近還有一起資料洩漏事件比上面這10起事件還要勁爆,即歐洲某國領導人與俄羅斯總統普京的通話內容被洩漏,原因是該領導人使用的iPhone被植入了偵聽軟體。
如果仔細分析和追查這些資料洩漏的背後原因,無外乎奇安信出版的暢銷書《紅藍攻防:構建實戰化的網路安全防禦體系》中總結的10個原因。
在攻防演練中,資產的控制權和所有權始終是攻防雙方的爭奪焦點。網際網路暴露面作為流量的入口,是攻擊方重要的攻擊物件。
資產不清是很多政企單位面臨的現狀。數字化轉型帶來的網際網路暴露面不斷擴大,政企機構資產範圍不斷外延。除了看得到的“冰面資產”之外,還有大量的冰面之下的資產,包括無主資產、灰色資產、殭屍資產等。
在實戰攻防演練中,一些單位存在“年久失修、無開發維護保障”的老/舊/殭屍系統,因為清理不及時,容易成為攻擊者的跳板,構成嚴重的安全隱患。
網路內部的隔離措施是考驗企業網路安全防護能力的重要環節。由於很多機構沒有嚴格的訪問控制(ACL)策略,在DMZ和辦公網之間不做或很少有網路隔離,辦公網和網際網路相通,網路區域劃分不嚴格,可以直接使遠端控制程式上線,令攻擊方可以很輕易地實現跨區攻擊。
大中型政企機構還存在“一張網”的情況,習慣於使用單獨架設專用網路,來打通各地區之間的內部網路連線,不同區域內網間也缺乏必要的隔離管控措施,缺乏足夠有效的網路訪問控制。這就導致藍隊一旦突破了子公司或分公司的防線,便可以透過內網進行橫向滲透,直接攻擊到集團總部,或是漫遊整個企業內網,進而攻擊任意系統。
在歷年的實戰攻防演練期間,已知應用系統漏洞、中介軟體漏洞以及因配置問題產生的常規漏洞,是攻擊方發現的明顯問題和主要攻擊渠道。
透過中介軟體來看,Weblogic、Websphere、Tomcat、Apache、Nginx、IIS都有使用。
Weblogic應用比較廣泛,因存在反序列化漏洞,所以常常會被作為打點和內網滲透的突破點。所有行業基本上都有對外開放的郵件系統,可以針對郵件系統漏洞,譬如跨站漏洞、CoreMail漏洞、XXE漏洞來針對性開展攻擊,也可以透過釣魚郵件和魚叉郵件攻擊來開展社工工作,均是比較好的突破點。
網路拓撲、使用者資訊、登入憑證等敏感資訊在網際網路大量洩漏 , 成為攻擊方突破點。針對暗網的調查發現,與政企機構網路登入憑證等相關資訊的交易正在蓬勃發展。
2019 年第四季度,暗網市場網路憑證資料的交易數量開始有所上升,出售的數量就相當於 2018 年全年的總和。2020 年第一季度,暗網市場銷售的網路登入的帖子數量比上一季度猛增了 69%。暗網出售的網路登入憑據涉及政府機構、醫療機構以及其他社會組織。
實際上,2020 年是有記錄以來資料洩漏最糟糕的一年。根據Canalys的最新報告“網路安全的下一步”, 2020年短短12個月內洩漏的記錄比過去15年的總和還多。大量網際網路敏感資料洩漏,為攻擊者進入內部網路和開展攻擊提供了便利。
網際網路出口和應用都是攻入內部網路的入口和途徑。目前政企機構的接入防護措施良莠不齊,給藍隊創造了大量的機會。針對 VPN 系統等開放於網際網路邊界的裝置或系統,為了避免影響到員工使用,很多政企機構都沒有在其傳輸通道上增加更多的防護手段;再加上此類系統多會整合統一登入,一旦獲得了某個員工的賬號密碼,藍隊可以透過這些系統突破邊界直接進入內部網路中來。
此外,防火牆作為重要的網路層訪問控制裝置,隨著網路架構與業務的增長與變化,安全策略非常容易混亂,甚至一些政企機構為了解決可用性問題,出現了“any to any”的策略。防守單位很難在短時間內梳理和配置幾十個應用、上千個埠的精細化訪問控制策略。缺乏訪問控制策略的防火牆,就如同敞開的大門,安全域邊界防護形同虛設。
主機承載著政企機構關鍵業務應用,需重點關注、重點防護。但很多機構的內部網路的防禦機制脆弱,在實戰攻防演練期間,經常發現早已披露的陳年漏洞未修復,特別是內部網路主機、伺服器以及相關應用服務補丁修復不及時,成為藍隊利用的重要途徑,從而順利 拿下內部網路伺服器及資料庫許可權。
集權類系統成為攻擊的主要目標。在攻防演練過程中,雲管理平臺、核心網路裝置、堡壘機、SOC 平臺、VPN 等集權系統,由於缺乏定期的維護升級,已經成為擴大許可權的突破點。集權類系統一旦被突破,整個內部的應用和系統基本全部突破,可以實現以點打面,掌握對其所屬管轄範圍內的所有主機控制權。
安全裝置作為政企機構對抗攻擊者的重要工具,其安全性應該相對較高。但實際上安全產品自身也無法避免 0Day 攻擊,安全裝置自身安全成為新的風險點。每年攻防演練都會爆出某某安全裝置自身存在某某漏洞被利用、被控制,反映出安全裝置廠商自身安全開發和檢測能力沒有做到位,給藍隊留下了“後門”,形成新的風險點。
2020 年實戰攻防演練中的一大特點是,安全產品的漏洞挖掘和利用現象非常普遍,多家企業的多款安全產品被挖掘出新漏洞(0day 漏洞)或存在高危漏洞。
歷年攻防實戰演練中,被發現和利用的各類安全產品 0Day 漏洞,主要涉及安全閘道器、身份與訪問管理、安全管理、終端安全等型別安全產品。這些安全產品的漏洞一旦被利用,可以使藍隊突破網路邊界,獲取控制權限進入網路;獲取使用者賬戶資訊,並快速拿下相關裝置和網路的控制權限。
近兩三年,出現了多起VPN、堡壘機、終端管理等重要安全裝置被藍隊利用重大漏洞突破的案例,這些安全裝置被攻陷,直接造成網路邊界防護失效、大量管理許可權被控制。
在攻防演練過程中,隨著防守方對攻擊行為的監測、發現和溯源能力大幅增強,攻擊隊開始更多地轉向供應鏈攻擊等新型作戰策略。藍隊會從IT(裝置及軟體)服務商、安全服務商、辦公及生產服務商等供應鏈機構入手,尋找軟體、裝置及系統漏洞,發現人員及管理薄弱點並實施攻擊。
常見的系統突破口包括:郵件系統、OA系統、安全裝置、社交軟體等;常見的突破方式包括軟體漏洞,管理員弱口令等。
由於攻擊物件範圍廣、攻擊方式隱蔽,供應鏈攻成為攻擊方的重要突破口,給政企安全防護帶來了極大的挑戰。從奇安信在 2021 年承接的實戰攻防演練情況來看,由於供應鏈管控弱,軟體外包、外部服務提供商等成為迂迴攻擊的重要通道。
利用人員安全意識不足或安全能力不足,實施社會工程學攻擊,透過釣魚郵件或社交平臺進行誘騙,是攻擊方經常使用的手法。
釣魚郵件是最經常被使用的攻擊手法之一。即便是安全意識較強的 IT 人員或管理員,也很容易被誘騙點開郵件中釣魚連結或木馬附件,進而導致關鍵終端被控,甚至整個網路淪陷。在歷年攻防演練過程中,攻擊隊透過郵件釣魚等方式攻擊 IT 運維人員辦公用機並獲取資料及內網許可權的案例數不勝數。
攻防演練中, 攻擊方攻擊測試,對防守方的檢測能力要求更高。網路安全監控裝置的部署、網路安全態勢感知平臺的建設,是實現安全視覺化、安全可控的基礎。部分企業採購部署了相關工具,但是每秒上千條報警,很難從中甄別出實際攻擊事件。
此外,部分老舊的防護裝置,策略配置混亂,安全防護依靠這些系統發揮中堅力量,勢必力不從心。流量監測及主機監控工具缺失,僅依靠傳統防護裝置的告警去判斷攻擊、甚至依靠人工去翻閱海量的日誌,導致“巧婦難為無米之炊”。
更重要的是,精於內部網路隱蔽滲透的攻擊方,在內部網路進行非常謹慎而隱蔽的橫向移動,很難被流量監測裝置或態勢感知系統檢測。
企業內部的資料洩漏,究其原因,總結起來大致就以上這10種。對於企業或機構(紅隊:防守方)而言,如何做好防守以保證自己的資料不被洩漏呢,奇安信的這本《紅藍攻防》裡也給出了8個常用策略。
攻擊隊會採用社工、工具等多種技術手段,對目標單位可能暴露在網際網路上的敏感資訊進行蒐集,為後期攻擊做充分準備。
防守隊除了定期對全員進行安全意識培訓,不準將帶有敏感資訊的檔案上傳至公共資訊平臺外,針對漏網之魚還可以透過定期開展敏感資訊洩漏蒐集服務,能夠及時發現在網際網路上已暴露的本單位敏感資訊,提前採取應對措施,降低本單位敏感資訊暴露的風險,增加攻擊隊蒐集敏感資訊的時間成本,為後續攻擊抬高難度。
攻擊隊首先會透過各種渠道收集目標單位的各種資訊,收集的情報越詳細,攻擊則會越隱蔽,越快速。此外,攻擊隊往往不會正面攻擊防護較好的系統,而是找一些可能連防守者自己都不知道的薄弱環節下手。
這就要求防守者一定要充分了解自己暴露在網際網路的系統、埠、後臺管理系統、與外單位互聯的網路路徑等資訊。哪方面考慮不到位、哪方面往往就是被攻陷的點。網際網路暴露面越多,越容易被攻擊隊“聲東擊西”,最終導致防守者顧此失彼,眼看著被攻擊卻無能為力。結合多年的防守經驗,可從如下幾方面收斂網際網路暴露面。
收縮戰線工作完成後,針對實戰攻擊,防守隊應對自身安全狀態開展全面體檢,此時可結合戰爭中的縱深防禦理論來審視當前網路安全防護能力。
從網際網路端防護、內外部訪問控制(安全域間甚至每臺機器之間)、主機層防護、供應鏈安全甚至物理層近源攻擊的防護,都需要考慮進去。透過層層防護,儘量拖慢攻擊隊擴大戰果的時間,將損失降至最小。
正式防守工作中,根據系統的重要性劃分出防守工作重點,找到關鍵點,集中力量進行防守。
根據實戰攻防經驗,核心關鍵點一般包括:靶標系統、集權類系統、具有重要資料的業務系統等,在防守前應針對這些重點系統再次進行梳理和整改,梳理得越細越好。必要情況下對這些系統進行單獨的評估,充分檢驗重點核心繫統的安全性。同時在正式防守工作,對重點系統的流量、日誌進行即時監控和分析。
面對大規模有組織的攻擊時,攻擊手段會不斷快速變化升級,防守隊在現場人員能力無法應對攻擊的情況下,還應該藉助後端技術資源,相互配合協同作戰,建立體系化支撐,才能有效應對防守工作中面臨的各種挑戰。
近兩年的紅藍對抗,攻擊隊的手段越來越隱蔽,越來越單刀直入,透過0day、Nday直指系統漏洞,直接獲得系統控制權限。
紅隊需擁有完整的系統隔離手段,藍隊成功攻擊到內網之後,會對內網進行橫向滲透。所以系統與系統之間的隔離,就顯得尤為重要。紅隊必須清楚哪些系統之間有關聯、訪問控制措施是什麼。在發生攻擊事件後,應當立即評估受害系統範圍和關聯的其他系統,並及時做出應對的訪問控制策略,防止內部持續的橫向滲透。
任何攻擊都會留下痕跡。攻擊隊會盡量隱藏痕跡、防止被發現。而防守者恰好相反,需要儘早發現攻擊痕跡,並透過分析攻擊痕跡,調整防守策略、溯源攻擊路徑、甚至對可疑攻擊源進行反制。建立全方位的安全監控體系是防守者最有力的武器,總結多年實戰經驗,有效的安全監控體系需在如下幾方面開展:
透過近幾年的紅藍對抗發展來看,紅藍對抗初期,藍隊成員透過普通攻擊的方式,不使用0day或其他攻擊方式,就能輕鬆突破紅隊的防守陣地。
但是,隨著時間的推移,紅隊防護體系早已從只有防火牆做訪問控制,發展到現在逐步完善了WAF、IPS、IDS、EDR等多種防護裝置,使藍隊難以突破,從而逼迫藍隊成員透過使用0day、Nday、現場社工、釣魚等多種方式入侵紅隊目標,呈無法預估的特點。
所以應急處突是近兩年紅藍對抗中發展的趨勢,同時也是整個紅隊防守水平的體現之處,不僅考驗應急處置人員的技術能力,更檢驗多部門(單位)協同能力,所以制定應急預案應當從以下幾個方面進行:
-
完善各級組織結構,如監測組、研判組、應急處置組(網路小組、系統運維小組、應用開發小組、資料庫小組)、協調組等。
-
明確各方人員,在各個組內擔任的職責,如監測組的監測人員,負責某臺裝置的監測,並且7×12小時不得離崗等。
-
明確各方裝置的能力與作用,如防護類裝置、流量類裝置、主機檢測類裝置等。
-
制定可能出現的攻擊成功場景,如Web攻擊成功場景、反序列化攻擊成功場景、Webshell上傳成功場景等。
-
明確突發事件的處置流程,將攻擊場景規劃至不同的處置流程:上機查證類處置流程、非上機查證類處置流程等。
溯源工作一直是安全的重要組成部分,無論在平常的運維工作,還是紅藍對抗的特殊時期,在發生安全事件後,能有效防止被再次入侵的有效手段,就是溯源工作。
在紅藍對抗的特殊時期,防守隊中一定要有經驗豐富、思路清晰的溯源人員,能夠第一時間進行應急響應,按照應急預案分工,快速理清入侵過程,並及時調整防護策略,防止再次入侵,同時也為反制人員提供溯源到的真實IP,進行反制工作。
反制工作是紅隊反滲透能力的體現,普通的防守隊員一般也只具備監測、分析、研判的能力,缺少反滲透的實力。這將使防守隊一直屬於被動的一方,因為紅隊沒有可反制的固定目標,也很難從成千上萬的攻擊IP裡,確定哪些可能是攻擊隊的地址,這就要求紅隊中要有經驗豐富的反滲透的人員。
經驗豐富的反滲透人員會透過告警日誌,分析攻擊IP、攻擊手法等內容,對攻擊IP進行埠掃描、IP反查域名、威脅情報等資訊收集類工作,透過收集到的資訊進行反滲透。紅隊還可透過效仿藍隊社工手段,誘導藍隊進入誘捕陷阱,從而達到反制的目的,定位藍隊自然人身份資訊。
限於篇幅,以上8種防守策略的細節並沒有展開,只給出了大致的思路,如果你想了解策略的具體內容,可以閱讀《紅藍攻防》這本書。
道高一尺,魔高一丈,網路攻防是沒有硝煙和終局的戰爭,要保障資訊的安全,我們應該時刻保持警惕,從策略、技術、人才等各方面做好準備。
本文部分內容摘編自《紅藍攻防:構建實戰化網路安全防禦體系》(ISBN:978-7-111-70640-3),經出版方授權釋出。
推薦語:這是一部從紅隊、藍隊、紫隊視角全面講解如何進行紅藍攻防實戰演練的著作,是奇安信安服團隊多年服務各類大型政企機構的經驗總結。本書全面講解了藍隊視角的防禦體系突破、紅隊視角的防禦體系構建、紫隊視角的實戰攻防演練組織。系統介紹了紅藍攻防實戰演練各方應掌握的流程、方法、手段、能力、策略,包含全面的技術細節和大量攻防實踐案例。
關於作者:奇安信安服團隊,是一支以攻防技術為核心,在雲端大資料支撐下聚焦威脅檢測和響應,具備諮詢規劃、威脅檢測、攻防演練、持續響應、預警通告、安全運營等一系列實戰化服務能力,能夠為客戶提供全週期安全保障服務的專業網路安保和應急響應團隊。
讀書 | 書單 | 乾貨|講明白|神操作 | 手把手
大資料 | 雲計算 | 資料庫 | Python | 爬蟲 | 視覺化
AI | 人工智慧 | 機器學習 | 深度學習 | NLP
5G|中臺 | 使用者畫像| 數學 | 演算法 | 數字孿生
